WEB安全防护资料课件

课程要点什么是Web安全风险为什么会存在Web安全风险为什么会面对Web安全风险如何防护Web安全课程要点什么是Web安全风险网站篡改网站篡改某银行网站篡改某银行网站篡改敏感数据泄密泄密敏感数据泄密泄密企业敏感信息泄密企业敏感信息泄密企业敏感信息泄密企业敏感信息泄密湖北车管所黑客入侵事件

曾经受聘为省公安厅交警总队开发软件，利用“超级管理员”的身份，用超级密码进入公安厅车管系统，办起了“地下车管所”，先后为126辆高档小轿车办理假证号牌，非法获利1500余万元

。湖北车管所黑客入侵事件曾经受聘为省公安厅交警“广告联盟”放置“黑链”“广告联盟”放置“黑链”钓鱼网站真正的中国工商银行网站假冒的中国工商银行网站w钓鱼网站真正的中国工商银行网站假冒的中国工商银行网站CSDN泄密门CSDN泄密门奥运网站订票瘫痪１０月３０日，北京奥运会门票面向境内公众第二阶段预售正式启动。上午一开始，公众提交申请空前踊跃。上午９时至１０时，官方票务网站的浏览量达到了８００万次，票务呼叫中心热线从９时至１０时的呼入量超过了３８０万人次。由于瞬间访问数量过大，技术系统应对不畅，造成很多申购者无法及时提交申请。奥运网站订票瘫痪１０月３０日，北京奥运会门票面向境内公众第二百度被黑百度被黑背景：5小时无法提供任何互联网服务漏洞：DNS服务器被劫持影响：国内最大互联网企业也在劫难逃！百度被黑百度被黑背景：5小时无法提供任何互联网服务铁路订票网站铁路订票网站苹果手机预订苹果手机预订网站瘫痪思考安全，在信息系统规划设计中就应该考虑！网站瘫痪思考安全，在信息系统规划设计中就应该考虑！Web安全风险定义Web攻击风险网页篡改、SQL注入、跨站脚本Web泄密风险敏感数据泄密Web可用性风险DDOS攻击Web安全风险定义Web攻击风险网页篡改、SQL注入、跨站脚政府网站安全防护薄弱据国家互联网应急中心监测,2011年中国大陆有近3.5万个网站被黑客篡改,数量较2010年下降21.5%,但其中被篡改的政府网站高达4635个,比2010年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。政府网站安全防护薄弱据国家互联网应急中心监测,2011年中国2011年第52周我国大陆被篡改网站数量2011年第52周我国大陆被篡改网站数量WEB安全防护资料课件被挂马政府网站被挂马政府网站金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易,窃取用户账号密码、造成用户经济损失。2010年,国家互联网应急中心共接收网络钓鱼事件举报1597件,较2009年增长33.1%;“中国反钓鱼网站联盟”处理钓鱼网站事件20570起,较2009年增长140%。金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标网络违法WEB安全防护资料课件网络安全事件的跨境化特点日益突出2010年,国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前三位分别是美国(占14.7%)、印度(占8.0%)和我国台湾(占4.8%);共有13782个僵尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。。网络安全事件的跨境化特点日益突出2010年,国家互联网应急中木马或僵尸程序受控主机木马或僵尸程序受控主机惩处黑客有法可依2009年2月28日十一届全国人大常委会第七次会议表决通过刑法修正案（七），此前，刑法第285条规定，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役鉴于上述情况，刑法修正案（七）在刑法第285条中增加两款作为第二款、第三款《刑法》惩处黑客有法可依2009年2月28日十一届全国人大常委会第七惩处黑客有法可依“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”《刑法》-解读惩处黑客有法可依“违反国家规定，侵入前款规定以外的计算机信息《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号），加强基础信息网络和重要信息系统安全保障，按照《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令〔2007〕第55号）的有关规定，加强和规范国家电子政务工程建设项目信息安全风险评估工作《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知《通知》-解读

四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准，进行系统测评并履行审批手续。

五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求，可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制，风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》《通知》-解读

四、涉密信息系统的信息安全风险评为什么会发生Web安全风险？为什么会发生Web安全风险？C/S模式和B/S模式对比客户端/服务器模式（C/S)专用端口专用协议专用端口专用协议浏览器/服务器模式（B/S)统一端口通用协议统一端口通用协议C/S模式和B/S模式对比客户端/服务器模式（C/S)专用端典型网络攻击示例黑客发现某web应用程序登陆界面，单击login尝试登陆系统提示需要输入有效用户名典型网络攻击示例黑客发现某web应用程序登陆界面，单击log典型网络攻击示例黑客尝试猜测有效用户名系统提示需要输入正确口令典型网络攻击示例黑客尝试猜测有效用户名系统提示需要输入正确口典型网络攻击示例黑客采用单引号‘作为口令尝试登陆后台数据库报错，通过分析可知数据库查询命令为：SQL查询=SELECTUsernameFROMUsersWHEREUsername=‘donald’ANDPassword=‘‘’典型网络攻击示例黑客采用单引号‘作为口令尝试登陆后台数据库报典型网络攻击示例系统反馈不存在名为dan的用户，标明后台查询语句为SQL查询=“SELECTUsernameFROMUsersWHEREUsername=‘dan’––后面所有的字符被作为注释对待

口令有效性验证被旁路黑客尝试使用dan’—作为用户名登陆

典型网络攻击示例系统反馈不存在名为dan的用户，标明后台查询典型网络攻击示例黑客尝试使用admin’—作为用户名登陆

即猜测存在名为admin的管理员用户成功登陆系统，黑客可以随意读取邮件、下载文件等操作。典型网络攻击示例黑客尝试使用admin’—作为用户名登陆即典型案例典型案例某政府单位网站后台某政府单位网站后台Web应用验证缺失Web安全身份验证浏览器端验证缺失服务器端域名欺骗安全协议不够完善Web应用验证缺失Web安全身份验证浏览器端验证缺失服务器端序号内容说明1跨站脚本漏洞Web应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击者可获取使用者的Cookie或Session信息而直接以使用者身份登陆2注入类问题Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤，SQL注入,命令注入等攻击包括在内3任意文件执行Web应用程序引入来自外部的恶意文件并执行4不安全的对象直接引用攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料5跨站请求截断攻击已登入Web应用程序的合法使用者执行恶意的HTTP指令，但Web应用程式却当成合法需求处理，使得恶意指令被正常执行6信息泄露Web应用程序的执行错误信息中包含敏感资料，可能包括系统文件路径，内部IP地址等7用户验证和Session管理缺陷Web应用程序中自行撰写的身份验证相关功能有缺陷8不安全的加密存储Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处9不安全的通信Web应用经常在需要传输敏感信息时没有使用加密协议10没有对URL路径进行限制某些网页因为没有权限控制，使得攻击者可透过网址直接存取WEB面临的安全威胁TOP10序号内容说明1跨站脚本漏洞Web应用程序直接将来自使用者的执2011年上半年CNCERT/CC处理事件类型2011年上半年CNCERT/CC处理事件类型51CTO的WEB威胁调查51CTO的WEB威胁调查Sql注入及其危害所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过递交参数构造巧妙的SQL语句，从而成功获取想要的数据。分为字符型注入和数字型的注入，由于编程语言不同，所存在的注入类型也不同。危害：

--非法查询其他数据库资源，如管理员帐号。

--执行系统命令

--获取服务器root权限Sql注入及其危害所谓SQL注入，就是通过把SQL命令插入到SQL注入-原理Test.asp文件代码片段：sqlStr=“select*fromn_userwhereusername=‘”&username&”’andpassword=‘“&password&”’rs=conn.execute(sqlStr)正常的查询：test.asp?username=test&password=123sqlStr=“select*fromn_userwhereusername=‘test’andpassword=‘123’“使password=123‘or‘1’=‘1：Sql语句到数据库后：sqlStr=“select*fromn_userwhereusername=‘test’andpassword=‘123’or‘1’=‘1’“Or‘1’=‘1’始终成立。SQL注入-原理Test.asp文件代码片段：SQL注入-Asp表现存在数字型和字符型注入。ID=49这类注入的参数是数字型，SQL语句原貌大致如下：

Select*from表名where字段=49

注入的参数为ID=49And[查询条件]，即是生成语句：

Select*from表名where字段=49And[查询条件]Class=连续剧这类注入的参数是字符型，SQL语句原貌大致概如下：

Select*from表名where字段=’连续剧’

注入的参数为Class=连续剧’and[查询条件]and‘’=’，即是生成语句：

Select*from表名where字段=’连续剧’and[查询条件]and‘’=’’(C)搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：

Select*from表名where字段like’%关键字%’

注入的参数为keyword=’and[查询条件]and‘%25’=’，即是生成语句：

Select*from表名where字段like’关键字’and[查询条件]and‘%’=’%’SQL注入-Asp表现存在数字型和字符型注入。SQL注入-Php中的表现Php的魔术引号(magic_quotes_gpc)。php.ini-dist默认是开启此功能。如果安装php时使用此文件，将不会产生字符型注入，主要是数字型注入。数字型注入：

http://localhost/www/admin/login.php?username=char(114,111,115,101)%23

查询语句变为：select

*

from

example

where

username=char(114,111,115,101)#

and

password=’’

SQL注入-Php中的表现Php的魔术引号(magic_quSQL注入-Jsp表现由于java语言是强类型语言，所有变量定义前必须声明其类型，因而仅存在字符型的注入。字符型注入实例：

Stringsql="select*fromtb_namewherename='"+varname+"'andpasswd='"+varpasswd+"'"; stmt=conn.prepareStatement(sql);

构造参数varpasswd值为：'or'1'='1Sql语句经过解析后将是：

select*fromtb_name='随意'andpasswd=''or'1'='1';

SQL注入-Jsp表现由于java语言是强类型语言，所有变SQL注入-A表现开发语言常用的有：和C#,都属于强类型语言，因而只存在字符型注入。注入原理，与asp的字符型注入一样。SQL注入-A表现开发语言常用的有：SQL注入-工具演示SQL注入-工具演示跨站脚本-介绍跨站脚本攻击(通常简写为XSS)是指攻者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。危害：

——盗取用户cookie ——Xss蠕虫

——挂马，结合xss蠕虫，危害巨大。跨站脚本-介绍跨站脚本攻击(通常简写为XSS)是指攻者利用网WEB木马病毒-利用漏洞类型浏览器本身缺陷第三方ActiveX控件漏洞文件格式漏洞WEB木马病毒-利用漏洞类型浏览器本身缺陷第三方ActiveWEB木马病毒-盗号木马和网页木马盗号木马在传统的远程控制木马基础上发展出的以窃取敏感信息为目标的专用木马。QQ盗号木马:数十款，流行网游:均发现相应的盗号木马免杀机制：继承可执行程序加壳/变形等技术方法网页木马本质上并非木马，而是Web方式的渗透攻击代码一般以JavaScript,VBScript等脚本语言实现免杀机制通过大小写变换、十六进制编码、unicode编码、base64编码、escape编码等方法对网页木马进行编码混淆通过通用（screnc等）或定制的加密工具（xxtea等）对网页木马进行加密修改网页木马文件掩码、混淆文件结构、分割至多个文件等WEB木马病毒-盗号木马和网页木马盗号木马WEB木马病毒-典型网页木马MS06-014网马MS06-014安全漏洞机理MDAC中的RDS.DataspaceActiveX控件远程代码执行漏洞，没有对通过该控件在宿主上的交互行为进行有效控制

MS06-014网马程序WEB木马病毒-典型网页木马MS06-014网马MS06-0WEB木马病毒-ARP欺骗木马ARP欺骗挂马:危害度更高的挂马网络构建策略并不需要真正攻陷目标网站：知名网站通常防护严密ARP欺骗：对同一以太网网段中，通过ARP欺骗方法进行中间人攻击，可劫持指定网络流量并进行任意修改ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向链接代码，从而使得目标网站被“虚拟”挂马服务器端ARP欺骗挂马在目标网站同一以太网中获得访问入口进行ARP欺骗挂马目标网站虽未被攻陷，但所有网站访问者遭受网页木马的威胁案例：07年10月份Nod32中国官方网站,C.I.S.R.T网站等WEB木马病毒-ARP欺骗木马ARP欺骗挂马:危害度更高的挂马服务器架构挂马服务器架构WEB木马病毒-网站挂马的的实现过程WEB木马病毒-网站挂马的的实现过程分布式拒绝攻击(DDOS)-介绍分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常，攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令。主控端命令代理对指定的目标发起拒绝服务攻击。分布式拒绝服务攻击是指主控端理由僵尸机器同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的效果。

分布式拒绝攻击(DDOS)-介绍分布式拒绝服务攻击使用与普通分布式拒绝攻击-攻击步骤一ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet分布式拒绝攻击-攻击步骤一Scanning不安全的计算机Ha分布式拒绝攻击-攻击步骤二Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝攻击-攻击步骤二Hacker被控制的计算机(代理端分布式拒绝攻击-攻击步骤三Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternet分布式拒绝攻击-攻击步骤三Hacker3被控制分布式拒绝攻击-攻击步骤四HackerUsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServerInternet分布式拒绝攻击-攻击步骤四HackerUsin分布式拒绝攻击-攻击步骤五InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机（代理端）分布式拒绝攻击-攻击步骤五InternetHacker分布式拒绝攻击-攻击步骤六TargetedSystemHacker

目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）分布式拒绝攻击-攻击步骤六TargetedHacker信息泄露-管理员的疏忽信息泄露-管理员的疏忽当我们输入inurl:“ViewerFrame?Mode=”后……信息泄露-来自搜索引擎当我们输入inurl:“ViewerFrame?Mode=”如何有效对WEB防护如何有效对WEB防护Web业务类型防护政务公开网上办事政民互动业务类型网页篡改敏感信息泄密业务中断威胁类型非法入侵代码加固网页防篡改WAF身份鉴别访问控制防护类型Web业务类型防护政务公开网上办事政民互动业务类型网页篡改敏Web安全视图InternetWebServerApplicationServerDatabasesBackendServer/SystemPortScanningDoSAnti-spoofingWebServerknowvulner-abilitiesPattern-BasedAttacks

SQLInjection

CrossSiteScripting

ParameterTamperingCookiePoisoningFirewall网络端口访问控制UDP/TCP状态感知1IDS/IPS基于规则的异常检测入侵防护已知漏洞管理2Web

ApplicationFirewallHTTP/S应用保护会话管理（Cookie安全）内容控制数据泄露管理3企业数据中心Web安全视图InternetWebServerAppli从运维管理者而言

检测与发现----事前预警防护与阻击----事中防护安全监控与安全恢复----事后恢复、监控从运维管理者而言检测与发现----事前预警典型安全产品保障方向产品名称检测WEB扫描器Web安全审计系统（WAS）防护WEB应用防火墙（WAF）网页防篡改安全监控与恢复WEB应用防护系统（HWAF）典型安全产品保障方向产品名称检测WEB扫描器防护WEB应用防Web安全扫描器十大Web安全扫描器NiktoParosproxyWebScarabWebInspectWhisker/LibwhiskerBurpsuiteWiktoAcunetixWebVelnerabilityScannerWatchfireAppscanN-StealthWeb安全扫描器十大Web安全扫描器Burpsuite网页防篡改网页防篡改Web应用防火墙Web应用防火墙应用代码安全才是真正的WEB安全！应用代码安全才是真正的WEB安全！Asp注入的预防对于用户端输入的任意字符，包括GET提交，POST提交，Cookie提交，SERVER提交的都需要做严格过滤。对于数字型参数判断是否为数字：可用函数isNumeric来判断，返回值为true和false。对于字符型参数过滤单引号，使其无法闭合当前sql语句的单引号。例外：base64编码Sql通用防注入Asp注入的预防对于用户端输入的任意字符，包括GET提交，PPhp注入的预防(一)确认GPC开启，若没开启则用addslashes函数过滤之，如下代码。

if(!get_magic_quotes_gpc()){

$lastname=addslashes($_POST['lastname']);

}else{

$lastname=$_POST['lastname'];

}对于数字型参数可使用intval或floatval强制转换为数字型。注意mysql的版本以及默认字符集，Mysql>4.1字符集连接字符串: mysql_query("SETcharacter_set_connection=$dbcharset, character_set_results=$dbcharset,character_set_client=binary;")Php注入的预防(一)确认GPC开启，若没开启则用addslPhp注入的预防(二)Php5以上版本Mysqli扩展预防，参数化查询$city="Amersfoort";

/*createapreparedstatement*/

$stmt=$mysqli->prepare("SELECTDistrictFROMCityWHEREName=?")

$stmt->bind_param("s",$city);

$stmt->execute();

$stmt->bind_result($district);

$stmt->fetch();

printf("%sisindistrict%s\n",$city,$district);

$stmt->close();

Php注入的预防(二)Php5以上版本Mysqli扩展预防，Jsp预防采用jdbc的prepareStatement查询数据库，并且sql语句中不出现参数，如：sqlStr=“selectidfrominfowherecity=?andopen=?orderbyiddesc”;stmt=conn.prepareStatement(sqlStr);stmt.setString(1,city);stmt.setString(2,var1);Jsp预防采用jdbc的prepareStatement查询跨站脚本的防范对用户输入数据编码：

Asp:server.htmlencode函数

Php:htmlspecialchars函数

:HttpContext.Current.Server.HtmlEncode jsp:默认没有提供过滤方法，需要自写方法。过滤危险的html关键字符： 比如：script/iframe等。跨站脚本的防范对用户输入数据编码：拒绝服务攻击防御路由器和防火墙配置得当，可以减少受DoS攻击的危险比如，禁止IP欺骗可以避免许多DoS攻击入侵检测系统，检测异常行为，并和防火墙联动阻挡攻击可以选用一些专门防止DDOS攻击的产品升级系统内核，打上必要的补丁，特别是一些简单的DoS攻击，例如SYNFlooding关掉不必要的服务和网络组件如果有配额功能的话，正确地设置这些配额监视系统的运行，避免降低到基线以下检测系统配置信息的变化情况保证物理安全建立备份和恢复机制拒绝服务攻击防御路由器和防火墙配置得当，可以减少受DoS攻击

信息暴露的防范使用防火墙和IDS

－可以有效阻断黑客的扫描关闭不必要的端口和服务

－如删除windows的默认ipc$共享修改软件的banner信息

－不使软件的版本等信息泄漏删除服务软件的帮助信息等默认配置文件

－如IIS和apache默认配置文件关掉系统的ping功能

－使系统不被发现设置网络设备的访问控制列表不要将网络拓扑等敏感信息放到容易得到的地方不要告诉陌生人任何敏感信息使用加密的传输通道信息暴露的防范整体的WEB安全解决方案设计制作过程访问控制病毒防护终端管理安全审计身份认证内容传输过程IPSEC-VPNSSL-VPN发布运维过程异常流量清洗访问控制入侵检测安全管理安全服务统一运行监控集中风险管理安全运行监控安全人员管理评估加固代码审计应急响应安全值守整体的WEB安全解决方案设计制作过程访问控制病毒防护终端管理课程要点什么是Web安全风险为什么会存在Web安全风险为什么会面对Web安全风险如何防护Web安全课程要点什么是Web安全风险网站篡改网站篡改某银行网站篡改某银行网站篡改敏感数据泄密泄密敏感数据泄密泄密企业敏感信息泄密企业敏感信息泄密企业敏感信息泄密企业敏感信息泄密湖北车管所黑客入侵事件

曾经受聘为省公安厅交警总队开发软件，利用“超级管理员”的身份，用超级密码进入公安厅车管系统，办起了“地下车管所”，先后为126辆高档小轿车办理假证号牌，非法获利1500余万元

。湖北车管所黑客入侵事件曾经受聘为省公安厅交警“广告联盟”放置“黑链”“广告联盟”放置“黑链”钓鱼网站真正的中国工商银行网站假冒的中国工商银行网站w钓鱼网站真正的中国工商银行网站假冒的中国工商银行网站CSDN泄密门CSDN泄密门奥运网站订票瘫痪１０月３０日，北京奥运会门票面向境内公众第二阶段预售正式启动。上午一开始，公众提交申请空前踊跃。上午９时至１０时，官方票务网站的浏览量达到了８００万次，票务呼叫中心热线从９时至１０时的呼入量超过了３８０万人次。由于瞬间访问数量过大，技术系统应对不畅，造成很多申购者无法及时提交申请。奥运网站订票瘫痪１０月３０日，北京奥运会门票面向境内公众第二百度被黑百度被黑背景：5小时无法提供任何互联网服务漏洞：DNS服务器被劫持影响：国内最大互联网企业也在劫难逃！百度被黑百度被黑背景：5小时无法提供任何互联网服务铁路订票网站铁路订票网站苹果手机预订苹果手机预订网站瘫痪思考安全，在信息系统规划设计中就应该考虑！网站瘫痪思考安全，在信息系统规划设计中就应该考虑！Web安全风险定义Web攻击风险网页篡改、SQL注入、跨站脚本Web泄密风险敏感数据泄密Web可用性风险DDOS攻击Web安全风险定义Web攻击风险网页篡改、SQL注入、跨站脚政府网站安全防护薄弱据国家互联网应急中心监测,2011年中国大陆有近3.5万个网站被黑客篡改,数量较2010年下降21.5%,但其中被篡改的政府网站高达4635个,比2010年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。政府网站安全防护薄弱据国家互联网应急中心监测,2011年中国2011年第52周我国大陆被篡改网站数量2011年第52周我国大陆被篡改网站数量WEB安全防护资料课件被挂马政府网站被挂马政府网站金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易,窃取用户账号密码、造成用户经济损失。2010年,国家互联网应急中心共接收网络钓鱼事件举报1597件,较2009年增长33.1%;“中国反钓鱼网站联盟”处理钓鱼网站事件20570起,较2009年增长140%。金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标网络违法WEB安全防护资料课件网络安全事件的跨境化特点日益突出2010年,国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前三位分别是美国(占14.7%)、印度(占8.0%)和我国台湾(占4.8%);共有13782个僵尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。。网络安全事件的跨境化特点日益突出2010年,国家互联网应急中木马或僵尸程序受控主机木马或僵尸程序受控主机惩处黑客有法可依2009年2月28日十一届全国人大常委会第七次会议表决通过刑法修正案（七），此前，刑法第285条规定，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役鉴于上述情况，刑法修正案（七）在刑法第285条中增加两款作为第二款、第三款《刑法》惩处黑客有法可依2009年2月28日十一届全国人大常委会第七惩处黑客有法可依“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”《刑法》-解读惩处黑客有法可依“违反国家规定，侵入前款规定以外的计算机信息《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号），加强基础信息网络和重要信息系统安全保障，按照《国家电子政务工程建设项目管理暂行办法》（国家发展和改革委员会令〔2007〕第55号）的有关规定，加强和规范国家电子政务工程建设项目信息安全风险评估工作《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知《通知》-解读

四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准，进行系统测评并履行审批手续。

五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求，可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制，风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》《通知》-解读

四、涉密信息系统的信息安全风险评为什么会发生Web安全风险？为什么会发生Web安全风险？C/S模式和B/S模式对比客户端/服务器模式（C/S)专用端口专用协议专用端口专用协议浏览器/服务器模式（B/S)统一端口通用协议统一端口通用协议C/S模式和B/S模式对比客户端/服务器模式（C/S)专用端典型网络攻击示例黑客发现某web应用程序登陆界面，单击login尝试登陆系统提示需要输入有效用户名典型网络攻击示例黑客发现某web应用程序登陆界面，单击log典型网络攻击示例黑客尝试猜测有效用户名系统提示需要输入正确口令典型网络攻击示例黑客尝试猜测有效用户名系统提示需要输入正确口典型网络攻击示例黑客采用单引号‘作为口令尝试登陆后台数据库报错，通过分析可知数据库查询命令为：SQL查询=SELECTUsernameFROMUsersWHEREUsername=‘donald’ANDPassword=‘‘’典型网络攻击示例黑客采用单引号‘作为口令尝试登陆后台数据库报典型网络攻击示例系统反馈不存在名为dan的用户，标明后台查询语句为SQL查询=“SELECTUsernameFROMUsersWHEREUsername=‘dan’––后面所有的字符被作为注释对待

口令有效性验证被旁路黑客尝试使用dan’—作为用户名登陆

典型网络攻击示例系统反馈不存在名为dan的用户，标明后台查询典型网络攻击示例黑客尝试使用admin’—作为用户名登陆

即猜测存在名为admin的管理员用户成功登陆系统，黑客可以随意读取邮件、下载文件等操作。典型网络攻击示例黑客尝试使用admin’—作为用户名登陆即典型案例典型案例某政府单位网站后台某政府单位网站后台Web应用验证缺失Web安全身份验证浏览器端验证缺失服务器端域名欺骗安全协议不够完善Web应用验证缺失Web安全身份验证浏览器端验证缺失服务器端序号内容说明1跨站脚本漏洞Web应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击者可获取使用者的Cookie或Session信息而直接以使用者身份登陆2注入类问题Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤，SQL注入,命令注入等攻击包括在内3任意文件执行Web应用程序引入来自外部的恶意文件并执行4不安全的对象直接引用攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料5跨站请求截断攻击已登入Web应用程序的合法使用者执行恶意的HTTP指令，但Web应用程式却当成合法需求处理，使得恶意指令被正常执行6信息泄露Web应用程序的执行错误信息中包含敏感资料，可能包括系统文件路径，内部IP地址等7用户验证和Session管理缺陷Web应用程序中自行撰写的身份验证相关功能有缺陷8不安全的加密存储Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处9不安全的通信Web应用经常在需要传输敏感信息时没有使用加密协议10没有对URL路径进行限制某些网页因为没有权限控制，使得攻击者可透过网址直接存取WEB面临的安全威胁TOP10序号内容说明1跨站脚本漏洞Web应用程序直接将来自使用者的执2011年上半年CNCERT/CC处理事件类型2011年上半年CNCERT/CC处理事件类型51CTO的WEB威胁调查51CTO的WEB威胁调查Sql注入及其危害所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过递交参数构造巧妙的SQL语句，从而成功获取想要的数据。分为字符型注入和数字型的注入，由于编程语言不同，所存在的注入类型也不同。危害：

--非法查询其他数据库资源，如管理员帐号。

--执行系统命令

--获取服务器root权限Sql注入及其危害所谓SQL注入，就是通过把SQL命令插入到SQL注入-原理Test.asp文件代码片段：sqlStr=“select*fromn_userwhereusername=‘”&username&”’andpassword=‘“&password&”’rs=conn.execute(sqlStr)正常的查询：test.asp?username=test&password=123sqlStr=“select*fromn_userwhereusername=‘test’andpassword=‘123’“使password=123‘or‘1’=‘1：Sql语句到数据库后：sqlStr=“select*fromn_userwhereusername=‘test’andpassword=‘123’or‘1’=‘1’“Or‘1’=‘1’始终成立。SQL注入-原理Test.asp文件代码片段：SQL注入-Asp表现存在数字型和字符型注入。ID=49这类注入的参数是数字型，SQL语句原貌大致如下：

Select*from表名where字段=49

注入的参数为ID=49And[查询条件]，即是生成语句：

Select*from表名where字段=49And[查询条件]Class=连续剧这类注入的参数是字符型，SQL语句原貌大致概如下：

Select*from表名where字段=’连续剧’

注入的参数为Class=连续剧’and[查询条件]and‘’=’，即是生成语句：

Select*from表名where字段=’连续剧’and[查询条件]and‘’=’’(C)搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：

Select*from表名where字段like’%关键字%’

注入的参数为keyword=’and[查询条件]and‘%25’=’，即是生成语句：

Select*from表名where字段like’关键字’and[查询条件]and‘%’=’%’SQL注入-Asp表现存在数字型和字符型注入。SQL注入-Php中的表现Php的魔术引号(magic_quotes_gpc)。php.ini-dist默认是开启此功能。如果安装php时使用此文件，将不会产生字符型注入，主要是数字型注入。数字型注入：

http://localhost/www/admin/login.php?username=char(114,111,115,101)%23

查询语句变为：select

*

from

example

where

username=char(114,111,115,101)#

and

password=’’

SQL注入-Php中的表现Php的魔术引号(magic_quSQL注入-Jsp表现由于java语言是强类型语言，所有变量定义前必须声明其类型，因而仅存在字符型的注入。字符型注入实例：

Stringsql="select*fromtb_namewherename='"+varname+"'andpasswd='"+varpasswd+"'"; stmt=conn.prepareStatement(sql);

构造参数varpasswd值为：'or'1'='1Sql语句经过解析后将是：

select*fromtb_name='随意'andpasswd=''or'1'='1';

SQL注入-Jsp表现由于java语言是强类型语言，所有变SQL注入-A表现开发语言常用的有：和C#,都属于强类型语言，因而只存在字符型注入。注入原理，与asp的字符型注入一样。SQL注入-A表现开发语言常用的有：SQL注入-工具演示SQL注入-工具演示跨站脚本-介绍跨站脚本攻击(通常简写为XSS)是指攻者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。危害：

——盗取用户cookie ——Xss蠕虫

——挂马，结合xss蠕虫，危害巨大。跨站脚本-介绍跨站脚本攻击(通常简写为XSS)是指攻者利用网WEB木马病毒-利用漏洞类型浏览器本身缺陷第三方ActiveX控件漏洞文件格式漏洞WEB木马病毒-利用漏洞类型浏览器本身缺陷第三方ActiveWEB木马病毒-盗号木马和网页木马盗号木马在传统的远程控制木马基础上发展出的以窃取敏感信息为目标的专用木马。QQ盗号木马:数十款，流行网游:均发现相应的盗号木马免杀机制：继承可执行程序加壳/变形等技术方法网页木马本质上并非木马，而是Web方式的渗透攻击代码一般以JavaScript,VBScript等脚本语言实现免杀机制通过大小写变换、十六进制编码、unicode编码、base64编码、escape编码等方法对网页木马进行编码混淆通过通用（screnc等）或定制的加密工具（xxtea等）对网页木马进行加密修改网页木马文件掩码、混淆文件结构、分割至多个文件等WEB木马病毒-盗号木马和网页木马盗号木马WEB木马病毒-典型网页木马MS06-014网马MS06-014安全漏洞机理MDAC中的RDS.DataspaceActiveX控件远程代码执行漏洞，没有对通过该控件在宿主上的交互行为进行有效控制

MS06-014网马程序WEB木马病毒-典型网页木马MS06-014网马MS06-0WEB木马病毒-ARP欺骗木马ARP欺骗挂马:危害度更高的挂马网络构建策略并不需要真正攻陷目标网站：知名网站通常防护严密ARP欺骗：对同一以太网网段中，通过ARP欺骗方法进行中间人攻击，可劫持指定网络流量并进行任意修改ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向链接代码，从而使得目标网站被“虚拟”挂马服务器端ARP欺骗挂马在目标网站同一以太网中获得访问入口进行ARP欺骗挂马目标网站虽未被攻陷，但所有网站访问者遭受网页木马的威胁案例：07年10月份Nod32中国官方网站,C.I.S.R.T网站等WEB木马病毒-ARP欺骗木马ARP欺骗挂马:危害度更高的挂马服务器架构挂马服务器架构WEB木马病毒-网站挂马的的实现过程WEB木马病毒-网站挂马的的实现过程分布式拒绝攻击(DDOS)-介绍分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常，攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令。主控端命令代理对指定的目标发起拒绝服务攻击。分布式拒绝服务攻击是指主控端理由僵尸机器同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的效果。

分布式拒绝攻击(DDOS)-介绍分布式拒绝服务攻击使用与普通分布式拒绝攻击-攻击步骤一ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet分布式拒绝攻击-攻击步骤一Scanning不安全的计算机Ha分布式拒绝攻击-攻击步骤二Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝攻击-攻击步骤二Hacker被控制的计算机(代理端分布式拒绝攻击-攻击步骤三Hacker

黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。3被控制计算机（代理端）MasterServerInternet分布式拒绝攻击-攻击步骤三Hacker3被控制分布式拒绝攻击-攻击步骤四HackerUsingClientprogram,

黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）TargetedSystemMasterServerInternet分布式拒绝攻击-攻击步骤四HackerUsin分布式拒绝攻击-攻击步骤五InternetHacker

主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargetedSystem被控制计算机（代理端）分布式拒绝攻击-攻击步骤五InternetHacker分布式拒绝攻击-攻击步骤六TargetedSystemHacker

目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequestDeniedInternet被控制计算机（代理端）分布式拒绝攻击-攻击步骤六TargetedHacker信息泄露-管理员的疏忽信息泄露-管理员的疏忽当我们输入inurl:“ViewerFrame?Mode=”后……信息泄露-来自搜索引擎当我们输入inurl:“ViewerFrame?Mode=”如何有效对WEB防护如何有效对WEB防护Web业务类型防护政务公开网上办事政民互动业务类型网页篡改敏感信息泄密业务中断威胁类型非法入侵代码加固网页防篡改WAF身份鉴别访问控制防护类型Web业务类型防护政务公开网上办事政民互动业务类型网页篡改敏Web安全视图InternetWebServerApplicationServerDatabasesBackendServer/SystemPortScanningDoSAnti-spoofingWebServerknowvulner-abilitiesPattern-BasedAttacks

SQLInjection

CrossSiteScripting

ParameterTamperingCookiePoisoningFirewall网络端口访问控制UDP/TCP状态感知1IDS/IPS基于规则的异常检测入侵防护已知漏洞管理2Web

ApplicationFirewallHTTP/S应用保护会话管理（Cookie安全）内容控制数据泄露管理3企业数据中心Web安全视图InternetWebServerAppli从运维管理者而言

检测与发现----事前预警防护与阻击----事中防护安全监控与安全恢复----事后恢复、监控从运维管理者而言检测与发现----事前预警典型安全产品保障方向产品名称检测WEB扫描器Web安全审计系统（WAS）防护WEB应用防火墙（WAF）网页防篡改安全监控与恢复WEB应用防护系统（HWAF）典型安全产品保障方向产品名称检测WEB扫描器防护WEB应用防We